VDA Labs, ein Startup, das Fehler in Anwendungen aufspürt, hat durch ungewöhnliche Geschäftspraktiken auf sich aufmerksam gemacht. In den USA gilt sein Name inzwischen als Synonym für ein neues, zweifelhaftes Geschäftsmodell.
Vulnerability Discovery and Analysis (VDA) Labs wurde im April von Jared DeMott gegründet. Das Unternehmen sucht nach Bugs in Webanwendungen und benachrichtigt daraufhin den jeweiligen Betreiber. Allerdings belässt VDA es nicht nur dabei, sondern verlangt für die Entdeckung der Bugs eine Gebühr beziehungsweise einen Beratungsauftrag. Andernfalls würde der Bug an Dritte weiterverkauft werden oder der Fehler öffentlich aufgedeckt werden. „Unser Business-Modell hat schon ein paar Ecken und Kanten“, gibt DeMott zu – andere nennen es schlicht Erpressung.
Vor zwei Wochen bekam es die Social-Network-Plattform Linkedin mit VDA zu tun. Die Firma spürte eine Sicherheitslücke in der Linkedin-Internet-Explorer-Toolbar auf und bot dem Unternehmen genauere Informationen sowie weitere Beraterdienste zum Pauschalpreis von 5000 Dollar an. Gleichzeitig wurde Linkedin ein Ultimatum gesetzt.
Nachdem Linkedin auf die Forderungen nicht reagierte, verschickte VDA am Abend vor dem Ablauf des Ultimatums weitere E-Mails. Darin wurde an die Deadline erinnert und die Forderung auf 10.000 Dollar erhöht. Als auch diese Drohung unbeantwortet blieb, bot DeMott zwei Tage später nur noch die Beratungsdienste an. Linkedin hat sich zu diesem Vorfall nicht geäußert und den betreffenden Bug mittlerweile selbst bereinigt.
DeMott verteidigt derweil seine Praktiken. Sie seien nur dazu gedacht, den betroffenen Unternehmen zu helfen und eindringlich auf bestehende Sicherheitslücken hinzuweisen. „Wir haben unsere Maßnahmen niemals als Erpressung angesehen. Wir wollten Firmen lediglich auf Fehler hinweisen und unsere Hilfe anbieten.“ Als Begründung nennt er die Verfahrensweise einiger Softwarefirmen, niemals mit Sicherheitsfirmen zusammenzuarbeiten, sondern lediglich auf durch Kunden aufgedeckte Fehler zu reagieren. „Wir haben mit unserem Geschäftsmodell durchaus Erfolg. In den vergangen vier Monaten hat die Hälfte der angesprochenen Firmen für die Beseitigung der Bugs gezahlt.“
„Das ist eindeutig Erpressung. Niemand sollte mit der Veröffentlichung eines Bugs drohen und Geld fordern“, sagt Johannes Ullrich, Forschungsleiter beim Sans Institute. „VDA ist nicht die einzige Firma mit derartigen Geschäftspraktiken. Da große Firmen wie Microsoft aber im Einklang mit ihren Unternehmenswerten niemals für aufgedeckte Fehler bezahlen würden, sehen sie die Vorgehensweise als schlichte Erpressung an“, ergänzt Terri Forslof, Sicherheitsmanager bei Tipping Point, einer Tochterfirma von 3Com.
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…